ISMS-P 인증 기준 안내서 요약 - 보호대책 요구사항 (2.5 인증 및 권한 관리 ~ 2.8 정보시스템 도입 및 개발 보안)

ISMS-P 인증 시험을 준비하면서 가장 많이 참고 했던 것은 'ISMS-P 인증 기준 안내서' 이다. 하지만 페이지가 300페이지 가까이 되기 때문에 반복해서 읽으니 시간도 오래 걸리고 눈에도 잘 안들어와서 보고싶은 내용만 추려봤다. 안봐도 알만한 결함들은 제외했다. 만약, ISMS가 처음이라면 인증 기준 안내서를 먼저 보는 걸 추천한다.

 

2. 보호대책 요구사항

2.5 정책, 조직, 자산 관리

2.5.1 사용자 계정 관리

• 인증기준:
  • 사용자 등록 및 권한부여 시 사용자에게 보안책임이 있음을 규정화하고 인식시켜야 함
• 주요 확인사항:
  • 사용자에게 계정 및 접근권한을 부여하는 경우 해당 계정에 대한 보안책임이 본인에게 있음을 명확히 인식시키고 있는가?
• 결함사례:
  • 사용자 및 개인정보취급자에 대한 계정 및 권한에 대한 사용자 등록, 해지 및 승인절차 없이 구두 요청, 이메일 등으로 처리하여 이에 대한 승인 및 처리 이력이 확인되지 않는 경우

2.5.2 사용자 식별

• 인증기준:
  • 사용자 계정은 사용자별로 유일하게 구분할 수 있도록 식별자를 할당하고 추측 가능한 식별자 사용을 제한
  • 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하여 책임자의 승인 및 책임추적성 확보 등 보완대책을 수립/이행

2.5.3 사용자 인증

• 인증기준:
  • 정보시스템과 개인정보 및 중요정보에 대한 사용자의 접근은 안전한 인증절차와 필요에 따라 강화된 인증방식을 적용
  • 로그인 횟수 제한, 불법 로그인 시도 경고 등 비인가자 접근 통제방안을 수립/이행
• 세부 설명:
  • 계정 도용 및 불법적인 인증시도 통제방안 예시
    • 로그인 실패횟수 제한
    • 접속 유지시간 제한
    • 동시 접속 제한
    • 불법 로그인 시도 경고
• 결함사례:
  • 개인정보취급자가 공개된 외부 인터넷망을 통해서 개인정보처리시스템에 접근 시 안전한 인증수단을 적용하지 않고 아이디/비밀번호 방식으로만 인증하고 있는 경우
  • 정보시스템 및 개인정보처리시스템 로그인 실패 시 해당 아이디가 존재하지 않거나 비밀번호가 틀림을 자세히 표시해주고 있으며, 로그인 실패 횟수에 대한 제한이 없는 경우

2.5.4 비밀번호 관리

2.5.5 특수 계정 및 권한 관리

• 결함사례:
  • 내부 규정에는 개인정보 관리자 및 특수권한자를 목록으로 작성/관리하도록 되어 있으나 이를 작성/관리하고 있지 않거나, 보안시스템 관리자 등 일부 특수권한이 식별/관리되지 않는 경우

2.5.6 접근권한 검토

• 결함사례:
  • 접근권한 검토와 관련된 방법, 점검주기, 보고체계, 오/남용 기준 등이 관련 지침에 구체적으로 정의되어 있지 않아 접근권한 검토가 정기적으로 수행되지 않은 경우
  • 내부 정책, 지침 등에 장기 미사용자 계정에 대한 잠금(비활성화) 또는 삭제 조치하도록 되어 있으나 6개월 이상 미접속한 사용자의 계정이 활성화 되어 있는 경우(접근권한 검토가 충실히 수행되지 않아 해당 계정이 식별되지 않은 경우)

2.6 접근 통제

2.6.1 네트워크 접근

• 인증기준:
  • 네트워크에 대한 비인가 접근을 통제하기 위하여 IP관리, 단말인증 등 관리절차를 수립/이행하고 업무목적 및 중요도에 따라 네트워크 분리(DMZ, 서버팜, DB존, 개발존 등)와 접근 통제를 적용
• 결함사례:
  • 네트워크 구성도와 인터뷰를 통해 확인한 결과, 외부 지점에서 사용하는 정보시스템 및 개인정보처리시스템과 IDC에 위치한 서버간의 연결 시 일반 인터넷 회선을 통해 데이터 송수신을 처리하고 있어 내부 규정에 명시된 VPN이나 전용만 등을 이용한 통신이 이루어지고 있지 않은 경우
  • 내부 규정과는 달리 MAC 주소 인증, 필수 보안 소프트웨어 설치 등의 보호대책을 적용하지 않은 상태로 네트워크 케이블 연결만으로 사내 네트워크에 접근 및 이용할 수 있는 경우

2.6.2 정보시스템 접근

• 인증기준:
  • 서버, 네트워크시스템 등 정보시스템에 접근을 허용하는 사용자, 접근제한 방식, 안전한 접근수단 등을 정의하여 통제
• 주요 확인사항:
  • 서버, 네트워크시스템, 보안시스템 등 정보시스템 별 운영체제(OS)에 접근이 허용되는 사용자, 접근 가능 위치, 접근 수단 등을 정의하여 통제하고 있는가?
  • 자동으로 시스템 접속이 차단되도록 하고 있는가?(2.5.3과 비슷한 문구)
  • 정보시스템의 사용목적과 관계없는 서비스를 제거하고 있는가?
• 세부 설명:
  • 정보시스템의 사용 목적과 관련이 없거나 침해사고를 유발할 수 있는 서비스 또는 포트를 확인하여 제거 또는 차단
  • [리눅스] /etc/xinetd.conf 파일의 서비스 목록 확인 또는 /etc/xinetd.d 디렉토리에 서비스 파일 사용 여부 확인
  • [윈도우] 제어판 - 관리 도구 - 서비스에서 각 서비스 별로 사용 여부 점검
• 결함사례:
  • 사무실에서 서버관리자가 IDC에 위치한 윈도우 서버에 접근 시 터미널 서비스를 이용하여 접근하고 있으나 터미널 서비스에 대한 Session Timeout  설정이 되어 있지 않아 장시간 아무런 작업을 하지 않아도 해당 세션이 차단되지 않는 경우

2.6.3 응용프로그램 접근

• 인증기준:
  • 사용자별 업무 및 접근 정보의 중요도 등에 따라 응용프로그램 접근권한을 제한하고, 불필요한 정보 또는 중요정보 노출을 최소화할 수 있도록 기준을 수립하여 적용
• 주요 확인사항:
  • 중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등)을 최소화할 수 있도록 응용프로그램을 구현하고 운영하고 있는가?
• 세부 설명:
  • 내부에서 사용하는 응용프로그램(백오피스시스템, 회원관리시스템 등)을 명확하게 식별
  • 응용프로그램 중 개인정보를 처리하는 개인정보처리시스템 식별
  • 개인정보취급자 접근 권한 분류체계 마련
  • 권한 세분화 설정
  • 계정 및 권한을 부여하는 절차 수립/이행
  • 권한 부여 기록 보관 및 타당성 검토
  • 응용프로그램에서 개인정보 등 중요정보 출력 시 용도를 특정하고 용도에 따라 출력항목 최소화
  • 개인정보 검색 시에는 과도한 정보가 조회되지 않도록 일치검색(equal 검색)이나 두 가지 조건 이상의 검색조건 사용 등
• 결함사례:
  • 응용프로그램을 통해 개인정보를 다운로드 받는 경우 해당 파일 내에 주민등록번호 등 업무상 불필요한 정보가 과도하게 포함되어 있는 경우
  • 응용프로그램의 개인정보 조회화면에서 like 검색을 과도하게 허용하고 있어, 모든 사용자가 본인의 업무 범위를 초과하여 전체 고객 정보를 조회할 수 있는 경우

2.6.4 데이터베이스 접근

• 인증기준:
  • 테이블 목록 등 데이터베이스 내에서 저장/관리되고 있는 정보를 식별하고, 정보의 중요도와 응용프로그램 및 사용자 유형 등에 따른 접근통제 정책을 수립/이행
• 결함사례:
  • 대량의 개인정보를 보관/처리하고 있는 데이터베이스를 인터넷을 통해 접근 가능한 웹 응용프로그램과 분리하지 않고 물리적으로 동일한 서버에서 운영하고 있는 경우
  • 내부 규정에는 데이터베이스의 접속권한을 오브젝트별로 제한하도록 되어 있으나, 데이터베이스 접근권한을 운영자에게 일괄 부여하고 있어 개인정보 테이블에 접근할 필요가 없는 운영자에게도 과도하게 접근 권한이 부여된 경우
  • 개인정보를 저장하고 있는 데이터베이스의 테이블 현황이 파악되지 않아, 임시로 생성된 테이블에 불필요한 개인정보가 파기되지 않고 대량으로 저장되어 있는 경우

2.6.5 무선 네트워크 접근

2.6.6 원격접근 통제

• 인증기준:
  • 보호구역 이외 장소에서의 정보시스템 관리 및 개인정보 처리는 원칙적으로 금지하고, 재택근무/장애대응/원격협업 등 불가피한 사유로 원격접근을 허용하는 경우 책임자 승인, 접근 단말 지정, 접근 허용범위 및 기간 설정, 강화된 인증, 구간 암호화, 접속단말 보안(백신/패치 등) 등 보호대책 수립 및 이행
• 결함사례:
  • 내부 규정에는 시스템에 대한 원격 접근은 원칙적으로 금지하고 불가피한 경우 IP 기반의 접근통제를 통해 승인된 사용자만 접근할 수 있도록 명시하고 있으나 시스템에 대한 원격 데스크톱 연결, SSH 접속이 IP주소 등으로 제한되어 있지 않아 모든 PC에서 원격 접속이 가능한 경우
  • 원격운영관리를 위해 VPN을 구축하여 운영하고 있으나 VPN에 대한 사용 승인 또는 접속 기간 제한 없이 상시 허용하고 있는 경우
  • 외부 근무자를 위해 개인 스마트 기기에 업무용 모바일 앱을 설치하여 운영 하고 있으나 악성코드, 분실/도난 등에 의한 개인정보 유출을 방지하기 위한 적절한 보호대책(백신, 초기화, 암호화 등)을 적용하고 있지 않은 경우

2.6.7 인터넷 접속 통제

• 인증기준:
  • 인터넷을 통한 정보 유출, 악성코드 감염, 내부망 침투 등을 예방하기 위하여 주요 정보시스템, 주요 직무 수행 및 개인정보 취급 단말기 등에 대한 인터넷 접속 또는 서비스(P2P, 웹하드, 메신저 등)를 제한하는 등 인터넷 접속 통제 정책을 수립/이행
• 주요 확인사항:
  • 주요 직무 수행 및 개인정보 취급 단말기 등 업무용 PC의 인터넷 접속에 대한 통제 정책을 수립/이행하고 있는가?
  • 주요 정보시스템(DB서버 등)에서 불필요한 외부 인터넷 접속을 통제하고 있는가?
• 세부 설명:
  • 악성코드 유입, 정보 유출, 역방향 접속 등이 차단되도록 내부 서버(DB서버, 파일서버 등)에서 외부 인터넷 접속 제한
• 결함사례:
  • 망분리 의무대상으로서 망분리를 적용하였으나 타 서버를 경유한 우회접속이 가능하여 망분리가 적용되지 않은 환경에서 개인정보처리시스템 접속 및 개인정보의 다운로드, 파기 등이 가능한 경우
  • DMZ 및 내부망에 위치한 일부 서버에서 불필요하게 인터넷으로의 직접 접속이 가능한 경우
  • 인터넷 PC와 내부 업무용 PC를 망분리하고 망간 자료전송시스템을 구축/운영하고 있으나, 자료 전송에 대한 승인 절차가 부재하고 자료 전송 내역에 대한 주기적 검토가 이루어지고 있지 않은 경우
  • 내부 규정에는 개인정보취급자가 P2P 및 웹하드 사이트 접속 시 책임자 승인을 거쳐 특정 기간 동안만 허용하도록 되어 있으나, 승인절차를 거치지 않고 예외 접속이 허용된 사례가 다수 존재하는 경우

2.7 암호정책 적용

2.7.1 암호정책 적용

• 인증기준:
  • 개인정보 및 주요정보 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 개인정보 및 주요정보의 저장/전송/전달 시 암호화를 적용
• 결함사례:
  • 내부 정책/지침에 암호통제 관련 법적 요구사항을 고려한 암호화 대상, 암호 강도, 저장 및 전송 시 암호화 방법, 암호화 관련 담당자의 역할 및 책임 등에 관한 사항이 적절히 명시되어 있지 않은 경우
  • 안전하지 않은 MD5 알고리즘을 사용한 경우
  • 정보통신망법 및 내부 규정에 따라 인터넷 웹사이트에 대하여 보안서버를 적용하였으나, 회원정보 조회 및 변경, 비밀번호 찾기, 비밀번호 변경 등 개인정보가 전송되는 일부 구간에 암호화 조치가 누락된 경우

2.7.2 암호키 관리

• 인증기준:
  • 암호키의 안전한 생성/이용/보관/배포/파기를 위한 관리 절차를 수립/이행하고, 필요 시 복구방안을 마련
• 세부 설명:
  • 암호키 생성, 이용, 보관, 배포, 파기에 대해 다음과 같은 내용이 포함된 정책 및 절차를 수립
    • 암호키 관리 담당자
    • 암호키 생성, 보관(소산 백업 등) 방법
    • 암호키 배포 대상자 및 배포방법(복호화 권한 부여 포함)
    • 암호키 사용 유효시간(비용, 중요도에 따른 변경 주기 고려)
    • 암호키 복구 및 폐기 절차와 방법
    • 소스코드에 하드코딩 방식의 암호키 기록 금지에 관한 사항
  • 암호키는 필요시 복구가 가능하도록 별도의 안전한 장소에 보관하고 암호키 사용에 관한 접근권한을 최소화
    • 암호키 손상 시 시스템 또는 암호화된 정보의 복구를 위하여 암호키는 별도의 매체에 저장한 후 안전한 장소에 보관(암호키 관리시스템, 물리적 분리된 곳 등)
    • 암호키에 대한 접근권한 최소화 및 접근 모니터링
• 결함사례:
  • 암호 정책 내에 암호키 관리와 관련된 절차, 방법 등이 명시되어 있지 않아 담당자 별로 암호키 관리 수준 및 방법이 상이한 등 암호키 관리 상에 취약사항이 존재하는 경우
  • 내부 규정에 중요 정보를 암호화할 경우 관련 책임자 승인 하에 암호화 키를 생성하고 암호키 관리대장을 작성하도록 정하고 있으나, 암호키 관리대장에 일부 암호키가 누락되어 있거나 현행화되어 있지 않은 경

•  

2.8 정보시스템 도입 및 개발 보안

2.8.1 보안  요구사항 정의

• 인증기준
  • 정보시스템의 도입/개발/변경 시 정보보호 및 개인정보보호 관련 법적 요구사항, 최신 보안취약점, 안전한 코딩방법 등 보안 요구사항을 정의하고 적용
• 세부 설명:
  • 도입 타당성 분석
    • 현재 시스템 자원의 이용률, 사용량, 능력한계에 대한 분석
    • 성능, 안전성, 보안성, 신뢰성 및 기존시스템과의 호환성, 상호 운용성 요건
    • 개인정보처리시스템에 해당될 경우 개보법, 망법 등에서 요구하는 법적 요구사항 준수
  • 정보시스템을 신규로 도입/개발 또는 변경하는 경우 법적 요구사항, 최신 취약점 등을 포함한 보안 요구사항을 명확히 정의하고 설계 단계에서부터 반영
  • 안전한 코딩 표준 및 규약에 대하여 개발자 대상 교육 수행
• 증적자료 등 준비사항
  • 정보시스템 도입 시 RFP(제안요청서) 및 구매계약서
• 결함사례:
  • 정보시스템 인수 전 보안성 검증 기준 및 절차가 마련되어 있지 않은 경우
  • 신규 시스템 도입 시 기존 운영환경에 대한 영향 및 보안성을 검토하도록 내부 규정을 마련하고 있으나 최근 도입한 일부 시스템에 대해 인수테스트(취약점 점검) 등의 관련 보안성검토 수행 증적이 확인되지 않은 경우
  • 개발 관련 내부 지침에 개발과 관련된 주요 보안요구사항(인증 및 암호화, 보안로그 등)이 정의되어 있지 않은 경우
  • 개발표준정의서에 사용자 패스워드를 안전하지 않은 암호화 알고리즘(MD5, SHA1)으로 사용하도록 되어 있어 관련 법적 요구사항을 적절히 반영하지 않은 경우

2.8.2 보안 요구사항 검토 및 시험

• 인증기준:
  • 사전 정의된 보안 요구사항에 따라 정보시스템이 도입 또는 구현되었는지를 검토하기 위하여 법적 요구사항 준수, 보안 취약점 점검, 안전한 코딩 구현, 개인정보 영향평가 등의 검토 기준과 절차를 수립/이행하고, 발견된 문제점에 대한 개선조치를 수행
• 주요 확인사항:
  • 정보시스템의 도입, 개발, 변경 시 분석 및 설계 단계에서 정의한 보안 요구사항이 효과적으로 적용되었는지를 확인하기 위한 시험을 수행하고 있는가?
  • 정보시스템이 안전한 코딩 기준 등에 따라 안전하게 개발되었는지를 확인하기 위한 취약점 점검이 수행되고 있는가?
  • 시험 및 취약점 점검 과정에서 발견된 문제점이 신속하게 개선될 수 있도록 개선계획 수립, 이행점검 등의 절차를 이행하고 있는가?
  • 공공기관은 관련 법령에 따라 개인정보처리시스템 신규 개발 및 변경 시 분석/설계 단계에서 영향평가기관을 통해 영향평가를 수행하고 그 결과를 개발 및 변경 시 반영하고 있는가?
• 세부 설명:
  • 정보시스템이 안전한 코딩 기준 등에 따라 안전하게 개발되었는지를 확인하기 위한 취약점 점검을 수행
    • 시스템이 안전한 코딩표준에 따라 구현하는 지 소스코드 검증(소스코드 검증도구 활용 등)
    • 코딩이 완료된 프로그램은 운영환경과 동일한 환경에서 취약점 점검도구 또는 모의진단을 통한 취약점 노출 여부를 점검
  • 공공기관은 개인정보처리시스템 신규 개발 또는 변경 시 개인정보 영향평가 의무 대상 여부를 검토하여 의무 대상인 경우 영향평가 계획을 수립하고 관련 예산을 확보
    • 개인정보 영향평가 의무 대상
      • 5만명 이상의 민감 정보 또는 고유식별정보 처리
      • 50만 이상의 개인정보 연계
      • 100만명 이상의 개인정보파일 처리
    •  (변경 시) 영향평가를 받은 후에 개인정보파일의 운용체계를 변경하는 경우 변경된 부분에 대해서는 영향평가를 실시
    • 개인정보 영향평가 종료 후 2개월 이내에 영향평가서를 행안부 장관에게 제출
    • 개인정보 영향평가 결과에 따른 개선 요구사항에 대하여 이행여부를 관리
      • 영향평가서를 제출 받은 공공기관의 장은 개선사항으로 지적된 부분에 대한 이행현황을 1년 이내에 행안부장관에게 제출
• 결함사례:
  • 정보시스템 구현 이후 개발 관련 내부 지침 및 문서에 정의된 보안요구사항을 시험하지 않고 있는 경우
  • 응용프로그램 테스트 시나리오 및 기술적 취약점 점검항목에 입력값 유효성 체크 등의 중요 점검항목 일부가 누락된 경우
  • 공공기관이 5만명 이상의 고유식별정보를 처리하는 등 영향평가 의무 대상 개인 정보파일 및 개인정보처리시스템을 신규로 구축하면서 영향평가를 실시하지 않은 경우
  • 공공기관이 영향평가를 수행한 후 영향평가 기관으로부터 영향평가서를 제출받은 지 2개월이 지났음에도 불구하고 영향평가서를 행안부장관에게 제출하지 않은 경우

2.8.3 시험과 운영 환경 분리

• 결함사례:
  • 타당한 사유 또는 승인 없이 별도의 개발환경을 구성하지 않고 운영환경에서 직접 소스코드 변경을 수행하고 있는 경우
  • 개발시스템이 별도로 구성되어 있으나 개발환경으로부터 운영환경으로의 접근이 통제되지 않아 개발자들이 개발시스템을 경유하여 불필요하게 운영시스템 접근이 가능한 경우

2.8.4 시험 데이터 보관

• 인증기준:
  • 시스템 시험 과정에서 운영데이터의 유출을 예방하기 위하여 시험 데이터의 생성과 이용 및 관리, 파기, 기술적 보호조치에 관한 절차를 수립/이행
• 세부설명:
  • 정보시스템의 개발 및 시험 과정에서 실제 운영데이터의 사용을 제한
  • 불가피하게 운영데이터를 시험 환경에서 사용할 경우 책임자 승인, 접근 및 유출 모니터링, 시험 후 데이터 삭제 등의 통제 절차를 수립/이행
• 결함사례:
  • 개발 서버에서 사용할 시험 데이터 생성에 대한 구체적 기준 및 절차가 수립되어 있지 않은 경우
  • 타당한 사유 및 책임자 승인 없이 실 운영데이터를 가공하지 않고 시험 데이터로 사용하고 있는 경우
  • 불가피한 사유로 사전 승인을 받아 실 운영데이터를 시험 용도로 사용하면서, 테스트 DB에 대해 운영 DB와 동일한 수준의 접근통제를 적용하고 있지 않은 경우
  • 실 운영 데이터를 테스트 용도로 사용한 후 테스트가 완료되었음에도 실 운영데이터를 테스트 DB에서 삭제하지 않은 경우

2.8.5 소스 프로그램 관리

• 인증기준:
  • 소스 프로그램은 인가된 사용자만이 접근할 수 있도록 관리하고, 운영환경에 보관하지 않는 것을 원칙으로 하여야 한다.
• 결함사례:
  • 별도의 소스 프로그램 백업 및 형상관리 시스템이 구축되어 있지 않으며, 이전 버전의 소스코드를 운영 서버 또는 개발자 PC에 승인 및 이력관리 없이 보관하고 있는 경우
  • 형상관리시스템을 구축하여 운영하고 있으나 형상관리시스템 또는 형상관리시스템에 저장된 소스코드에 대한 접근제한, 접근 및 변경이력이 적절히 관리되지 않고 있는 경우
  • 내부 규정에는 형상관리시스템을 통해 소스 프로그램 버전관리를 하도록 되어 있으나, 최신 버전의 소스 프로그램은 개발자 PC에만 보관되어 있고 이에 대한 별도의 백업이 수행되고 있지 않은 경우

2.8.6 운영환경 이관

• 인증기준:
  • 신규 도입/개발 또는 변경된 시스템을 운영환경으로 이관할 때는 통제된 절차를 따라야 하고, 실행코드는 시험 및 사용자 인수 절차에 따라 실행
• 결함사례:
  • 개발/변경이 완료된 소스 프로그램을 운영환경으로 이관 시 검토/승인하는 절차가 마련되어 있지 않은 경우
  • 운영서버에 서비스 실행에 불필요한 파일(소스코드 또는 배포모듈, 백업본, 개발 관련 문서, 매뉴얼 등)이 존재하는 경우
  • 내부 지침에 운영환경 이관 시 안전한 이관/복구를 위해 변경작업 요청서 및 결과서를 작성하도록 정하고 있으나 관련 문서가 확인되지 않는 경우